Spring Security 自定义登录Session配置

已于 2023-02-18 13:48:10 修改
阅读量2k 收藏 3
点赞数 1
文章标签: spring boot spring security Powered by 金山文档
于 2023-02-18 13:38:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011492260/article/details/129099028
版权
本文介绍了如何在Spring Security中实现一个账号只能在一个客户端登录的功能。当同一账号尝试在另一客户端登录时,之前的登录会话会被强制结束。通过自定义过滤器接管登录过程后,需要手动配置session管理。主要步骤包括定义sessionRegistry、Session Strategy、CompositeSessionAuthenticationStrategy、ConcurrentSessionFilter,并在自定义过滤器中设置session策略,最后在HttpSecurity配置中进行相应设置。
摘要由CSDN通过智能技术生成
适用于session方式的登录,不适用于jwt token方式的登录。因为jwt token方式的话session就没什么事儿了 (此处为了防止小白不懂原理盲目抄)。

有这样一个需求,一个账号只能在一个客户端浏览器上登录,如果同样的账号在别的客户端浏览器上登录的话,之前的登录需要被踢下去。这个需求看似很简单,而且默认情况下使用Spring Security配置也挺简单,如下配置即可:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http

    ... //此处忽略若干行配置

    .sessionManagement()
            .maximumSessions(1);
}

这个配置在默认formLogin状态下生效,但如果使用自定义过滤器接管登录过程的话就会失效,如这样:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
    ... //此处忽略若干行配置
    // 添加自己的登录过滤器
    .addFilterBefore(adminLoginFilter(), UsernamePasswordAuthenticationFilter.class)
    // 因为adminLoginFilter接管了默认formLogin的工作,所以下面的session配置失效了
    .sessionManagement()
            .maximumSessions(1);
}

这时我们需要手动配置session了,先看看官网是怎么说的 官网说明 这是官网的一段话

If you are using a customized authentication filter for form-based login, then you have to configure concurrent session control support explicitly.

官网也提供了具体配置方法

<http>
<custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
<custom-filter position="FORM_LOGIN_FILTER" ref="myAuthFilter" />

<session-management session-authentication-strategy-ref="sas"/>
</http>

<beans:bean id="redirectSessionInformationExpiredStrategy"
class="org.springframework.security.web.session.SimpleRedirectSessionInformationExp
最低0.47元/天 解锁文章
Askar大傻鱼
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security源码分析九:Spring Security Session管理
郑龙飞
01-19 3314
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将
Spring Security-4:使用 Session 持久化登录
github_39436025的博客
11-25 1733
更多内容欢迎访问我的个人 Java 站点:开坑组-Java站 使用 Session 持久化登录态 之前我们介绍了如何自定义用户,自定义验证码等。处理完以上步骤之后,我们需要了解的就是用 Session 来持久化我们的登录态了,只有持久化了登录态,才能够确保在有多个服务的同时,也能够在不同的服务器中获取到用户的登录状态。 持久化登录态的方式有多种,接下来我们分别来介绍下如何使用 MySQL 和 Redis 来存储 Session。 使用 MySQL 存储登录态 添加依赖至 pom.xml <!--
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 2480
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
Spring SecuritySession管理配置
weixin_34402090的博客
02-13 445
废话不多说,直接上代码。示例如下: 1. 新建Maven项目 session 2. pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLoc...
SpringSecurity (七)session管理(会话管理)
weixin_43189971的博客
07-19 1322
1.默认会话管理(t掉之前): .sessionManagement().maximumSessions(1).and().and() 2.禁止登录会还管理 .sessionManagement().maximumSessions(1) .maxSessionsPreventsLogin(true).and().and() 3.为什么要用.add().add() 4.为什么用两个浏览器测试 5.配置会话管理的Session销毁监听器......
6.Spring Security Session 管理
LoveSummer
11-05 7442
Spring Security Session 管理 用户登录成功后,信息保存在服务器 Session 中,这节学习下如何管理这些 Session。这节将在 Spring Security 短信验证码登录的基础上继续扩展。 Session 超时设置 Session 超时时间也就是用户登录的有效时间。要设置 Session 超时时间很简单,只需要在配置文件中添加: server: session...
SpringBoot使用SpringSecurity自定义用户登录自定义权限-session
chitiguan0536的博客
04-15 6404
SpringSecurity的学习成本比较高,API比较难懂,这里记录一下用SpringSecurity实现项目的登录各种需求 首先实现自定义用户登录自定义权限的session模式,session其实就是存储在服务器上的用户信息,用户登录后会返回一个sessionID存储到...
10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 969
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
Spring Security -- 自定义登录
smile_code_dog的博客
04-15 2554
Spring Security自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
Spring Security自定义登录验证及登录返回结果
娃儿回家
07-16 5912
Spring Security自定义登录验证及登录返回结果一.功能描述二.处理逻辑简单流程自定义UserDetails自定义UserDetailsDAO自定义UserDetailsService自定义用户登录验证逻辑AuthenticationProvider三.Spring Security基本配置信息四.登录登出自定义处理器登录成功处理器LocalAuthenticationSuccessHandler登录失败处理器LocalAuthenticationFailureHandler登出成功处理器Loca
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4280
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
最新版Spring Security & Spring Session 实现单点登录
weixin_43626356的博客
08-23 1594
Spring Security & Spring Session & Redis实现SSO
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1773
Springboot +spring security,实现session并发控制及实现原理分析
springboot security基于session登录认证(验证码)(五)
qq_27081015的博客
12-31 2938
1.验证码的认证分为3种 第一种直接在contrller中添加认证 package com.hanhuide.core.controller; import com.google.code.kaptcha.impl.DefaultKaptcha; import io.swagger.annotations.Api; import lombok.extern.slf4j.Slf4j; imp...
SpringSecurity详解,实现自定义登录接口
个人笔记git:https://gitee.com/tlangp/note.git
10-28 4685
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存中查询用户,需要跟实际的权限数据库关联。编写登录接口,在其中调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法中根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类中。
SpringSecurity in Action》一: 基于Session实现登陆认证
shangcunshanfu的博客
04-10 1493
SpringSecurity - 基于Session实现登陆认证1 依赖2 代码示例2.1 代码说明 1 依赖 <dependencies> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
Spring security之管理session
远方的少年
03-21 2044
    首先要要在web.xml中加上一个监听session的监听器.   &lt;listener&gt; &lt;listener-class&gt;org.springframework.security.web.session.HttpSessionEventPublisher&lt;/listener-class&gt; &lt;/listener&gt;然后在spring se...
SpringSecurity自定义过滤器实现认证逻辑
"本文主要探讨了在SpringSecurity框架中如何实现自定义过滤器,通过具体的代码示例,帮助读者理解自定义过滤器在解决复杂认证场景中的应用。内容包括创建自定义过滤器类以及将其集成到SpringSecurity的过滤器链中,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值